專利名稱:硬件鎖裝置認證方法及其相關硬件鎖裝置的制作方法
技術領域:
本發(fā)明涉及一種信息安全方法及相關裝置,尤其涉及一種用于一硬件鎖裝置的認證方法及其相關硬件鎖裝置�����。
背景技術:
在電腦網絡中����,一般數(shù)據(jù)傳輸,認證或是軟件在使用時通常使用帳戶�、密碼或是硬件鎖(Keyftx))的方式或設備,來認證使用者是否為正當授權的使用者��。常見的方式使用者可向硬件鎖公司申請一硬件鎖裝置���,如一令牌(Token)的硬件裝置����,并通過特定網頁啟動并設定對特定帳戶的保護。每當使用者欲存取被保護的帳戶��,軟件或特定主機時(如登入特定網域或登入特定網絡商店的帳戶)時��,使用者預先輸入使用者帳號與密碼����,接著要求使用者插入硬件鎖裝置來驗證帳號,密碼及硬件鎖是否正確�����,如果正確后將可使用此軟件���, 帳號或數(shù)據(jù)。在前述使用者認證方式中����,一般都是由主機作最后決定,決定是否認證通過��。然而,這樣的保密模式仍然存在著風險�����。比如�,黑客可以通過竊聽軟件,監(jiān)聽主機端以破解使用者輸入等信息����。
發(fā)明內容
因此,針對現(xiàn)有技術中存在的問題��,本發(fā)明的目的在于提供一種硬件鎖裝置的認證方法����,以預防認證相關信息被竊取。本發(fā)明揭示一種用于一硬件鎖裝置的認證方法���,其包含有從一主機接收一第一密碼觸發(fā)因子�;根據(jù)該第一密碼觸發(fā)因子��,產生一第一一次性密碼�����;同時傳送該第一一次性密碼與一第二密碼觸發(fā)因子至該主機;從該主機接收對應于該第二密碼觸發(fā)因子的一第二一次性密碼���;根據(jù)該第二一次性密碼��,判斷關于該硬件鎖的一認證結果�����;以及傳送該認證結果至該主機�����。本發(fā)明另揭示一種硬件鎖裝置���,其包含有一密碼產生單元、一判斷單元�����、一接收單元及一傳送單元�。該密碼產生單元用來根據(jù)一第一密碼觸發(fā)因子�,產生一第一一次性密碼。 該判斷單元用來根據(jù)對應于一第二密碼觸發(fā)因子的一第二一次性密碼��,判斷關于該硬件鎖的一認證結果。該接收單元用來從一主機接收一第一密碼觸發(fā)因子及該第二一次性密碼����。 該傳送單元用來同時傳送該第一一次性密碼與該第二密碼觸發(fā)因子至該主機,以及傳送該認證結果至該主機��。本發(fā)明的有益效果在于��,本發(fā)明讓由認證端(如主機)與被認證端(如令牌)進行連續(xù)兩次的一次性密碼認證流程���,并由被認證端確定最終的認證結果����,以預防認證過程中的一次性密碼被竊取���。
圖1為本發(fā)明實施例一認證流程的示意圖�。
圖2為本發(fā)明實施例一令牌的示意圖���。其中�,附圖標記說明如下10認證流程100��、110��、120、130����、140、150���、160�����、170 步驟12 主機14 令牌A1�����、A2密碼觸發(fā)因子OTPl��、0TP2 一次性密碼AU_RES認證結果
具體實施例方式請參考圖1����,圖1為本發(fā)明實施例一認證流程10的示意圖����。認證流程10用來實現(xiàn)一主機12與一具備硬件鎖(Keypro)的令牌(Token) 14間的認證,其包含下列步驟步驟100 主機12與令牌14間完成使用者密碼登入流程���。步驟110 主機12傳送一密碼觸發(fā)因子Al至令牌14�����。步驟120 令牌14根據(jù)密碼觸發(fā)因子Al��,產生一一次性密碼OTPl�����。步驟130 令牌14同時傳送一次性密碼OTPl與一密碼觸發(fā)因子A2至主機12�����。步驟140 主機12根據(jù)密碼觸發(fā)因子A2�,產生一一次性密碼0TP2�����。步驟150 主機12傳送一次性密碼0TP2至令牌14����。步驟160 令牌14根據(jù)一次性密碼0TP2,判斷關于令牌14的一認證結果。步驟170 令牌14傳送認證結果至主機12�。根據(jù)認證流程10,令牌14可自動輸入使用者帳號與密碼至主機12以完成使用者密碼登入流程��。接著�,主機12與令牌14進行一雙向的一次性密碼認證流程。首先�,主機12 傳送密碼觸發(fā)因子Al至令牌14,而令牌14據(jù)此產生對應的一次性密碼OTPl���。于回傳一次性密碼OTPl時�����,令牌14也同時傳送密碼觸發(fā)因子A2給主機12����,以進行下一個密碼認證流程�。密碼觸發(fā)因子A2與第一次密碼認證流程間的關系可以是主機12與令牌14事先協(xié)議 (預設)好的。主機12根據(jù)密碼觸發(fā)因子A2�,產生對應的一次性密碼0TP2,并回報給令牌 14作認證確認�。若一次性密碼0TP2符合令牌14所需求的密碼,則令牌14判斷認證成功��, 反之則判斷認證失敗。最后�,令牌14將認證結果傳給主機12,告知認證成功或失敗���。在認證成功的情況下,使用者可以成功登入欲存取的目標��,如網域或網頁�����。由上可知�����,在認證流程10中��,主機12與令牌14之間進行了兩次采用質詢/響應(Challenge/Response)方式的一次性密碼認證流程�,且最后判斷認證成功或失敗的動作是由令牌14負責,因此即使黑客成功入侵主機12竊聽密碼的情況下也無法確切得知主機12與令牌14的認證流程����,讓破解機率大幅降低。在認證流程10中��,密碼觸發(fā)因子Al或A2可為一組隨機產生的計數(shù)器或時間因子,以用于實現(xiàn)計數(shù)性或計時性的一次性密碼認證流程���。換句話說�,主機12與令牌14可將密碼觸發(fā)因子Al或A2套入相同的加密算法��,以分別得出一組密碼����,再比對兩組密碼是否相同,并于兩組密碼相同時��,進行下一步驟(如判斷認證結果或另一次的密碼認證流程)��。例如���,主機12利用一算法及密碼觸發(fā)因子A2產生一次性密碼0TP2���。令牌14于接收到一次性密碼0TP2時,也利用相同算法及密碼觸發(fā)因子A2產生一組一次性密碼����,若產生的一次性密碼與一次性密碼0TP2相符時,則令牌14判斷認證成功�,反之則判斷認證失敗�。同樣地�����,主機 12判斷令牌14所產生的一次性密碼OTPl是否正確也是利用同樣的方式���。此外����,一次性密碼OTPl及0TP2可根據(jù)一哈希信息認證一次性密碼(Hash-based Message Authentication Code OneTime Password, HOTP)算法所產生��。請參考圖2��,圖2為本發(fā)明實施例一令牌20的示意圖���。令牌20用來實現(xiàn)認證流程10中的令牌14,且包含一連接接口 200����、一接收單元210、一傳送單元220����、一密碼產生單元230及一判斷單元M0�。接收單元210及傳送單元220通過連接接口 200����,與一主機(如圖1的主機12)進行信號交換。連接接口 200可為通用串行總線(Universal Serial Bus, USB)�、一打印終端(Line Print Terminal、LPT)或RS-232等接口���,以讓令牌20與主機可使用相同的通訊協(xié)議或傳輸數(shù)據(jù)加密方式來交換數(shù)據(jù)�����。當接收單元210通過連接接口 200 接收密碼觸發(fā)因子Al時�����,密碼產生單元230根據(jù)密碼觸發(fā)因子Al�����,利用與主機相同的加密算法產生一次性密碼OTPl���。算法可為一高級加密標準(Advanced Encryption Standard, AES)算法或其他加密算法。此外��,令牌20可包含多種預設的密碼觸發(fā)因子,如制造商于令牌20出廠前存儲多組密碼觸發(fā)因子于令牌20的非易失性存儲器(未示于圖中)中����,當每次需要密碼觸發(fā)因子時,令牌20再隨機選出一組密碼觸發(fā)因子�;或是當每次需要密碼觸發(fā)因子時,令牌20隨機產生一組密碼觸發(fā)因子�����。所產生的密碼觸發(fā)因子A2再伴隨所產生的一次性密碼OTPl同時由傳送單元220傳送至主機�。判斷單元240根據(jù)主機鎖回復的一次性密碼0TP2,判斷關于令牌20 (或使用者)的一認證結果AU_RES���,其再由傳送單元220傳送至主機。由于令牌20可用來實現(xiàn)認證流程10中的令牌14����,因此詳細的認證流程請參考圖1說明,于此不贅述��。因此���,本發(fā)明讓由認證端(如主機)與被認證端(如令牌)進行連續(xù)兩次的一次性密碼認證流程�,并由被認證端確定最終的認證結果,以預防認證過程中的一次性密碼被竊取�。以上所述僅為本發(fā)明的較佳實施例,凡依本發(fā)明權利要求所做的等同變化與修飾�,皆應屬本發(fā)明的涵蓋范圍。
權利要求
1.一種用于一硬件鎖裝置的認證方法��,包含有步驟 從一主機接收一第一密碼觸發(fā)因子��;根據(jù)該第一密碼觸發(fā)因子�����,產生一第一一次性密碼����;同時傳送該第一一次性密碼與該硬件鎖裝置的一第二密碼觸發(fā)因子至該主機; 從該主機接收對應于該第二密碼觸發(fā)因子的一第二一次性密碼���; 根據(jù)該第二一次性密碼�����,判斷關于該硬件鎖的一認證結果����;以及傳送該認證結果至該主機。
2.如權利要求1所述的認證方法����,其特征在于,該認證方法還包含于該硬件鎖裝置從該主機接收該第一密碼觸發(fā)因子之前����,與該主機完成一使用者帳號與密碼登入程序的步馬聚ο
3.如權利要求1所述的認證方法,其特征在于��,該第一密碼觸發(fā)因子為一隨機產生的計數(shù)器或一隨機產生的時間因子���。
4.如權利要求1所述的認證方法���,其特征在于,該第二密碼觸發(fā)因子為一隨機產生的計數(shù)器或一隨機產生的時間因子��。
5.一種硬件鎖裝置��,包含有一密碼產生單元����,用來根據(jù)一第一密碼觸發(fā)因子,產生一第一一次性密碼�����; 一判斷單元���,用來根據(jù)對應于該硬件鎖裝置的一第二密碼觸發(fā)因子的一第二一次性密碼�����,判斷關于該硬件鎖的一認證結果���;一接收單元,用來從一主機接收一第一密碼觸發(fā)因子及該第二一次性密碼��;以及一傳送單元��,用來同時傳送該第一一次性密碼與該第二密碼觸發(fā)因子至該主機��,以及傳送該認證結果至該主機�。
6.如權利要求5所述的硬件鎖裝置,其特征在于��,該第一密碼觸發(fā)因子為一隨機產生的計數(shù)器或一隨機產生的時間因子�����。
7.如權利要求5所述的硬件鎖裝置,其特征在于����,該第二密碼觸發(fā)因子為一隨機產生的計數(shù)器或一隨機產生的時間因子。
全文摘要
本發(fā)明公開了一種用于一硬件鎖裝置的認證方法及一種硬件鎖裝置���,該認證方法包含有從一主機接收一第一密碼觸發(fā)因子����;根據(jù)該第一密碼觸發(fā)因子��,產生一第一一次性密碼���;同時傳送該第一一次性密碼與一第二密碼觸發(fā)因子至該主機��;從該主機接收對應于該第二密碼觸發(fā)因子的一第二一次性密碼�;根據(jù)該第二一次性密碼����,判斷關于該硬件鎖的一認證結果�;以及傳送該認證結果至該主機。本發(fā)明可預防認證相關信息被竊取。
文檔編號H04L9/32GK102468958SQ201010535239
公開日2012年5月23日 申請日期2010年11月3日 優(yōu)先權日2010年11月3日
發(fā)明者孟海倫 申請人:虎昂科技股份有限公司